校園網的規劃與實現

伊健

摘要：該文從校園網的建設中涉及的網絡技術以及網絡設備入手，詳細討論校園網建設的目標、設計的原則和網絡的結構，最終設計出一套安全性較好、可靠性較高的網絡環境。文章運用云計算管理平臺來管理分配云計算資源同時使用管理系統來管理網絡設備資源情況，使得校園網的使用和管理更加便捷、智能。

關鍵詞：網絡結構；IRF；冗余備份；云計算；網絡安全

中圖分類號：TP393? ? ? ? 文獻標識碼：A

文章編號：1009-3044（2023）13-0091-03

開放科學（資源服務）標識碼（OSID）

0 引言

隨著數字時代的到來，學校的教育、管理將會面臨著全新的挑戰，校園網信息化建設已經是校園基礎設施建設的一個重要組成部分，如何將現代通信技術和手段引入校園管理之中，如何組建技術先進、可靠性高、安全性高和實用性強的校園網是一個亟待解決的課題[1]。只有將現代技術與傳統技術有效結合，才能更好地達到信息化校園的需求，更好、更方便地管理校園。

1 需求

某師范學院擁有學生、教職工近3000人，網絡建設最基本的要求是需要滿足全校師生的網絡連接。學校使用接入、匯聚、核心的三層網絡架構來滿足全體成員的網絡需求。其中，接入層使用千兆網線，接入層交換機與匯聚層交換機之間使用千兆光纖連接，匯聚層交換機與核心層交換機之間使用萬兆光纖連接。為了使網絡具備冗余備份功能，核心層兩臺交換機使用IRF堆疊技術，下聯設備和上聯設備與核心交換機之間采用鏈路聚合，使得在交換機故障或鏈路故障時能保證網絡不中斷。同時，校內的接入點也需要進行一定的控制，防止不法分子使用接入點對校內網絡系統進行攻擊。校園網的網絡建設大致如下：

1） 建立內外網互通的網絡環境，以實現信息資源共享、網絡資源共享等，達到校內師生可以輕松訪問互聯網的目的，從而提高辦公、學習的效率。

2） 做好相應的安全策略，保證攻擊者不能從互聯網和校園內網對網絡進行惡意攻擊，實現安全穩定的校園網絡環境。

3） 做好校內網絡的冗余備份，避免單故障點對校園網絡造成的不良影響。

此次校園網的規劃設計的目標功能為：

標準性：在經濟全球化的今天，每一個產品都不僅僅是一家就能完善所有系統的，網絡設備也是一樣，在網絡規劃設計時，網絡協議、接口等使用國際標準，從而確保不同品牌的設備之間可以實現兼容，達到整個校園網的互通互聯，同時也方便校園網在以后的擴展中不受產品的制約[2]。

安全性：在網絡安全特別重要的今天，只有保證網絡的安全性，才能保證數據的安全，避免不必要的攻擊對任何一個公民造成不必要的損失。通過配置安全策略，限制流量，提高網絡管理水平。

可擴展性：在高等院校不斷擴招的今天，以后的網絡擴展、升級會變得越來越普遍化，終端設備的爆發式增長，人數的增加都需要對網絡系統架構進行擴充，所以，在設備選型時需要考慮擴展性。

可靠性：現在的網絡建成后，一般都是不間斷運行，所以軟件、硬件的可靠性也是一個非常重要的參考項。軟件可靠性包括故障記錄、預警能力、錯誤恢復能力。硬件可靠性包括文件傳輸的冗余備份、網絡結構設計、UPS等[3]。

管理性：網絡系統完成之后，需要有專業的網絡維護人員對設備進行監控和維護，網絡管理員可以通過網絡管理協議和網絡管理軟件對整個網絡情況進行監控，包括網絡數據流量大小的監控、網絡設備硬件的監控等，從而確保網絡穩定地運行。

2 整體網絡拓撲設計

為了防止網絡的單點故障，整個拓撲采用三層架構，核心層使用IRF堆疊技術[4]，匯聚層交換機與核心層交換機之間使用鏈路聚合，使得鏈路互相成為主備，接入層交換機連接到匯聚層交換機，對下層主機設備上傳的數據進行轉發。學院校園網的拓撲如圖1所示：

為了保證網絡可靠性，核心采用雙設備，兩臺核心設備之間使用IRF堆疊技術。使用堆疊技術之后，在管理上，兩臺核心設備可以作為一臺設備進行管理，在業務數據轉發上，提升了設備的性能，保證了業務不會中斷，實現了冗余備份的條件。在核心層交換機和匯聚層交換機之間使用了OSPF協議，實現了動態學習路由條目。當一臺核心設備出現故障時，所有的數據流量會自動切換到另一臺核心設備進行數據的轉發，鏈路也會相應進行切換。校外出差的老師和不在校的學生若是訪問校內資源時，使用SSL VPN技術來訪問校內資源，不同用戶組的用戶設置不同的權限，達到不同用戶登錄VPN后訪問的資源權限有所區別。

3 IP地址規劃

根據校園的網絡使用要求以及校園地理位置的分布情況，對不同樓棟使用不同網段的IP地址。具體IP地址規劃如表1所示：

4 測試

4.1 NAT地址轉換測試

NAT地址轉換如果出現錯誤，那么就會導致內網用戶不能訪問互聯網，所以，NAT地址轉換測試的重要性不言而喻。此次測試NAT地址轉換從地址池、地址轉換的配置情況和地址轉換的記錄兩個方面進行一個小的測試，從而檢測NAT配置正確與否。地址池配置等測試結果如圖2所示：

從圖3可以看出，私網地址為192.168.2.1轉換為公網地址200.1.1.4，再從圖2中可以看出，地址池的范圍中包含200.1.1.4的地址。同時可以看出私網地址的端口為154，轉換后的公網地址的端口為0，因此得出此NAT為動態NAT的結論。

4.2 SSL VPN測試

SSL VPN測試通過外網電腦使用瀏覽器進行SSL VPN訪問iMC進行測試。測試結果如圖4和圖5所示：

4.3 連通性測試

連通性測試通過校內主機ping公網路由器ISP的接口地址進行測試。測試結果如圖6所示：

5 結束語

本次網絡規劃與設計是以某師范學院為基礎，結合項目中網絡建設需求的規劃，從網絡整體規劃到實施測試以及最終的網絡安全平臺、網絡管理平臺、云計算管理平臺的搭建等方面進行描述。由于校園網的用戶數目較多，且分布在教學區、生活區等不同區域，為了方便管理并順應現代網絡架構發展的趨勢，最終確定網絡為由核心層、匯聚層、接入層組成的三層架構。采用了多種冗余備份技術，達到了網絡穩定性高和可靠性高的需求。

整個學院的網絡規劃設計與實現過程中使用了VLAN、ACL、防火墻等技術保證了校園網的安全訪問，使用SSL VPN保障了校園成員在外出時可以合法地訪問校內的資源，使用了IRF堆疊技術和鏈路聚合技術保證了網絡的冗余備份，使用了云計算保證了資源了高效利用，使用了SNMP和iMC保障了網絡的實時告警。最終綜合使用這些技術，使得學院的校園網擁有了合理、安全的使用環境，成為一個合格的校園網絡。

通過使用VLAN、ACL、IRF、鏈路聚合等技術，學院校園網實現了資源合理化運用，核心設備具有可靠性高，網絡結構標準化，網絡設備可管理化等優點。客戶表示此次實施方案以及實施結果達到了他們的預期，對本次實施給予了很大的肯定。

參考文獻：

[1] 陳斌.校園網信息化建設與安全問題的處置方式探尋[J].科技資訊，2017，15（5）：31-31，33.

[2] 潘銀松，顏燁，高瑜.計算機導論[M].重慶：重慶大學出版社，2020.

[3] 顏光.某高職院校校園網改造方案的設計與實施[D].南京：南京郵電大學，2019.

[4] 廖文建.IRF技術初探與實際應用[J].網絡安全和信息化，2018（6）：64-66.

【通聯編輯：代影】